Réf. : CNIL, 20 juillet 2021, délibération n° SAN-2021-010 (N° Lexbase : X9419CMS)
Lecture: 4 min
N8483BYT
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 27 Juillet 2021
► Par sa délibération du 20 juillet 2021, la formation restreinte de la CNIL sanctionne la société de groupe d'assurance mutuelle (SGAM) AG2R LA MONDIALE d'une amende de 1 750 000 euros pour avoir manqué aux obligations du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) relatives aux durées de conservation et à l’information des personnes.
Contexte. La CNIL a effectué un contrôle en 2019 auprès du groupe AG2R LA MONDIALE. Celui-ci visait à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé ainsi que de son activité assurantielle.
À cette occasion, la CNIL a constaté que la SGAM AG2R LA MONDIALE, en charge de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire du groupe, conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique.
Un manquement à l’obligation de limiter la durée de conservation des données (« RGPD », art. 5.1.e). La société n’avait pas mis en œuvre dans ses systèmes les durées de conservation qu’elle avait définies dans son référentiel. En conséquence, elle conservait les données personnelles de ses prospects et clients sur des durées excessives.
S’agissant des données des prospects, la société ne respectait pas la durée maximale de conservation de trois ans fixée dans son référentiel et dans le registre des traitements du groupe. Les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient ainsi conservées.
S’agissant des données des clients, la société ne respectait pas les durées maximales de conservation légales prévues notamment par le Code des assurances et le Code de commerce. En l’occurrence, la société conservait les données de plus de 2 millions de clients, dont certaines de nature sensible (santé) ou particulière (coordonnées bancaires), au-delà des durées légales de conservation autorisées après la fin du contrat.
Des mesures ont été prises par la société à la suite du contrôle, puis au cours de la procédure pour atteindre la mise en conformité. La conformité est acquise s’agissant des données des prospects. S’agissant des données des clients, la société a pris des engagements fermes et documentés de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. Elle a également pris un engagement s’agissant de la date à laquelle elle sera entièrement en conformité sur ce point.
Un manquement à l’obligation d’information des personnes (« RGPD », art. 13 et 14). L’information fournie aux personnes démarchées téléphoniquement par des sous-traitants de la société ne comportait pas l’ensemble des éléments exigés par le « RGPD ». En effet, les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer. De plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les personnes ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un e-mail.
La société a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le « RGPD », après le contrôle puis au cours de la procédure.
Sanction. La formation restreinte de la CNIL a ainsi prononcé une amende de 1 750 000 euros et a décidé de rendre publique sa décision.
La formation restreinte a par ailleurs pris acte des mesures de mise en conformité adoptées par la société concernant la limitation de la durée de conservation et l’information des personnes.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:478483
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.